Lỗ hổng zero-day mới trên Google Chrome cho phép hacker thực thi mã từ xa
Nhà nghiên cứu bản mật Clement Lecigne của nhóm Phân tích các mỗi đe dạo của Google phát hiện và báo cáo một lỗ hổng nghiêm trọng trong Chrome vào cuối tháng trước, cho phép kẻ tấn công thực thi mã tuy ý và kiếm soát hoàn toàn máy tính.
Lỗ hổng được đặt tên CVE-2019-5786, ảnh hưởng đến phần mềm Chrome trên tất cả các hệ điều hành Microsft Windows, MAC OS, Linux.
Không tiết lộ chi tiết về lỗ hổng, nhóm bảo mật Chrome chỉ nói rằng vấn đề là lỗ hổng use-after-free trong thành phần FileReader của Chrome dẫn đến thực thi mã từ xa.
Vấn đê lo ngại hơn. Google cho biết lỗ hổng này đang bị những kẻ tấn công khai thác để nhắm vào người Google Chrome.
FileReader là chuẩn API được thiết kế cho ứng dụng web đồng bộ đọc nội dung của file lưu trên máy tính người dùng. Sử dụng "File" hoặc "Blob" để chỉ định đối tượng file hoặc dữ liệu cần đọc.
Lỗ hổng use-after-free là một loại lỗ hổng liên quan đến bộ nhớ, cho phép làm hỏng hoặc sửa đổi dữ liệu trong bộ nhớ, cho phép người dùng không có đặc quyền trên hệ thống hoặc phần mềm bị ảnh hưởng.
Để khai thác được lỗ hổng này, kẻ tấn công phải đánh lừa nạn nhân mở hoặc chuyển hướng đến một trang web được thiết kế đặc biệt.
Lỗ hổng này đã được vá trong phiên bản Chrome update 72.0.3626.121 cho hệ điều hành Microsoft Windows, MAC OS, Linux. Người dùng hãy đảm bảo đang chạy bản cập nhật mới nhất.
Lỗ hổng được đặt tên CVE-2019-5786, ảnh hưởng đến phần mềm Chrome trên tất cả các hệ điều hành Microsft Windows, MAC OS, Linux.
Không tiết lộ chi tiết về lỗ hổng, nhóm bảo mật Chrome chỉ nói rằng vấn đề là lỗ hổng use-after-free trong thành phần FileReader của Chrome dẫn đến thực thi mã từ xa.
Vấn đê lo ngại hơn. Google cho biết lỗ hổng này đang bị những kẻ tấn công khai thác để nhắm vào người Google Chrome.
FileReader là chuẩn API được thiết kế cho ứng dụng web đồng bộ đọc nội dung của file lưu trên máy tính người dùng. Sử dụng "File" hoặc "Blob" để chỉ định đối tượng file hoặc dữ liệu cần đọc.
Lỗ hổng use-after-free là một loại lỗ hổng liên quan đến bộ nhớ, cho phép làm hỏng hoặc sửa đổi dữ liệu trong bộ nhớ, cho phép người dùng không có đặc quyền trên hệ thống hoặc phần mềm bị ảnh hưởng.
Để khai thác được lỗ hổng này, kẻ tấn công phải đánh lừa nạn nhân mở hoặc chuyển hướng đến một trang web được thiết kế đặc biệt.
Lỗ hổng này đã được vá trong phiên bản Chrome update 72.0.3626.121 cho hệ điều hành Microsoft Windows, MAC OS, Linux. Người dùng hãy đảm bảo đang chạy bản cập nhật mới nhất.
Chỉnh sửa lần cuối bởi người điều hành: